De focus van de Autoriteit Persoonsgegevens (AP) is voornamelijk bij partijen die een datalek bij de toezichthouder melden. Diverse casestudy’s tonen aan dat de privacywaakhond forse boetes oplegt aan instanties die een datalek melden. Hierdoor ontstaat het risico dat bedrijven en organisaties wel twee keer nadenken om een lek te melden bij de toezichthouder.
Daarvoor waarschuwt Pro Facto in een rapport (1) aan de Tweede Kamer. Pro Facto is een onderzoeksbureau dat in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) dat de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) uitvoerde.
De Algemene Verordening Gegevensbescherming of AVG is de Europese wetgeving die EU-inwoners beschermt dat hun gegevens zomaar en door iedereen verwerkt mogen worden. Tegelijkertijd regelt deze verordening onder welke voorwaarden persoonsgegevens binnen de EU mogen worden uitgewisseld.
Het doel van de AVG was om privacywetgeving in het leven te roepen die door alle lidstaten op dezelfde manier werden toegepast. Tegelijkertijd biedt de verordening ruimte voor lidstaten om eigen afwegingen te maken. De Europese Commissie heeft de Autoriteit Persoonsgegevens al eens op de vingers getikt (2) voor het te streng interpreteren van de AVG.
De bepalingen om af te wijken zijn in Nederland vastgelegd in de Uitvoeringswet Algemene Verordening Gegevensbescherming of UAVG. Deze wet legt tevens de taken en bevoegdheden van de Autoriteit Persoonsgegevens vast.
In de UAVG is tevens een evaluatiemoment opgenomen: vier jaar na de inwerkingtreding van de AVG (op 25 mei 2018) moesten onderzoekers de werking van de UAVG in kaart brengen, evenals de naleving en effectiviteit van de meldplicht van datalekken. Onderzoekers van Pro Factor benadrukken dat het evaluatierapport geen evaluatie is over de werking van de AVG of de Autoriteit Persoonsgegevens. Tegelijkertijd erkennen ze dat de studie “onvermijdelijk” raakpunten heeft met deze thema’s.
Onderzoekers hebben gesproken met 33 (oud-)wetgevingsjuristen en beleidsmedewerkers van het ministerie van Justitie en Veiligheid met de UAVG in portefeuille, academici, advocaten, rechters en met de voorzitter van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG). Verder is er een vragenlijst opgestuurd naar zo’n tweeduizend functionarissen gegevensbescherming en zijn diverse casestudy’s van de toezichthouder onder de loep genomen.
De Autoriteit Persoonsgegevens weigerde aanvankelijk mee te werken aan het onderzoek, omdat ze bezwaar had tegen de opdracht, aard, opzet en scope van het onderzoek. Uiteindelijk werkte de toezichthouder mee toen de onderzoekers een concepteindtekst met vragen voorlegde.
De belangrijkste conclusie van de onderzoekers is dat de inzet van de Autoriteit Persoonsgegevens op de naleving van de meldplicht grotendeels is gericht op gemelde datalekken. Bedrijven, organisaties en andere instanties die geen melding van een datalek maken, lijken hierdoor “vrij spel” te hebben.
“We constateren in de casestudy’s dat de AP forse boetes oplegt in gevallen waarin wel is gemeld”, zo valt er te lezen in het onderzoeksrapport. Onderzoekers keken naar de boetes die de toezichthouder oplegde aan GGD GHOR (3) , VoetbalTV (4), Bureau Kredietregistratie (BKR) (5) en de Belastingdienst (6). Zij kregen bestuurlijke boetes opgelegd die opliepen tot 3,7 miljoen euro.
Het is niet zo dat de boete enigszins werd verlaagd, omdat zij het lek op tijd meldden. “Het is niet ondenkbaar dat die werkwijze ertoe leidt dat potentiële melders eerder terughoudend worden om te melden”, zo waarschuwen de onderzoekers. “Ook als de overtreder de overtreding beëindigt, houdt de AP in de bestudeerde casus vast aan de opgelegde boete.”
Minister voor Rechtsbescherming Franc Weerwind heeft het onderzoeksrapport ontvangen. In een brief aan de Tweede Kamer schrijft de bewindsman dat in het vierde kwartaal van dit jaar met een kabinetsreactie op het rapport komt. In de brief spreekt Weerwind zijn waardering uit voor de onderzoekers en diens aanbevelingen.
https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2022Z16288&did=2022D34265
https://www.vpngids.nl/nieuws/europese-commissie-waarschuwt-ap-voor-te-strenge-interpretatie-avg/
https://www.vpngids.nl/nieuws/levendige-handel-in-privegegevens-afkomstig-uit-it-systemen-ggd/
https://www.vpngids.nl/nieuws/raad-van-state-tikt-ap-op-de-vingers-voor-boete-voetbaltv/
https://www.vpngids.nl/nieuws/bkr-probeerde-avg-boete-te-verdoezelen/
https://www.vpngids.nl/nieuws/ap-legt-belastingdienst-boete-van-3-7-miljoen-euro-op/
